8220 Gang Kriminalsoftware-Gruppe: Infiziert Cloud-Hosts und betreibt ein Botnetz sowie den PwnRig Kryptowährungs-Miner

[post-views]
Juli 21, 2022 · 3 min zu lesen
8220 Gang Kriminalsoftware-Gruppe: Infiziert Cloud-Hosts und betreibt ein Botnetz sowie den PwnRig Kryptowährungs-Miner

Inhaltsverzeichnis:

8220 Gang, auch bekannt als 8220 Mining Group, hat im letzten Jahr seine Aktivitäten verstärkt und das Cloud-Botnet von infizierten Hosts von 2.000 Mitte 2021 auf 30.000 und weiter steigend vergrößert. In ihren vorherigen Angriffen konzentrierte sich die Bedrohungsgruppe darauf, bestehende Schwachstellen auszunutzen und Brute-Force-Angriffe zu starten, um Cloud-Server zu kompromittieren und Kryptowährungsminer einzuschleusen.

Die Hacker nutzten zunächst Port 8220 für C&C – daher der Name. Es gibt bestimmte Spuren ihrer Aktivität, die darauf hindeuten, dass die Angreifer aus einem chinesischsprachigen Umfeld stammen.

Erkennung

Erkennen Sie verdächtiges Verhalten in Ihrer Umgebung, das auf das Eindringen der 8220 Gang hinweist, mit einer von unserem erfahrenen Threat-Bounty-Entwickler veröffentlichten Sigma-Regel. Emir Erdogan:

Erkennung des PwnRig-Kryptowährungsminers (via process_creation)

Die Regel ist im Einklang mit dem MITRE ATT&CK® Framework v.10, das die Taktiken Abwehrumgehung und Wirkung anspricht, mit Verschleierten Dateien oder Informationen (T1027) und Ressourcenumleitung (T1496) als Haupttechniken.

Wenn Sie neu auf der Plattform sind, durchsuchen Sie eine umfangreiche Sammlung von Sigma-Regeln mit relevantem Bedrohungskontext, CTI- und MITRE ATT&CK-Referenzen, CVE-Beschreibungen, und erhalten Sie Updates zu Bedrohungsjagden-Trends. Keine Registrierung erforderlich! Drücken Sie die Bedrohungskontext erkunden Taste, um mehr zu erfahren. Entsperren Sie den unbegrenzten Zugang zur ersten Plattform der Welt für kollaborative Cyberabwehr, Bedrohungsjagd und Entdeckung, die mit über 26 SIEM-, EDR- und XDR-Plattformen integriert ist. Jagen Sie die neuesten Bedrohungen, automatisieren Sie die Bedrohungsuntersuchung, und erhalten Sie Feedback und Prüfungen von einer Community von über 28.000 Sicherheitsexperten, um Ihre Sicherheitsoperationen zu verbessern. Registrieren Sie sich, indem Sie auf die Erkennen & Jagen Taste unten klicken.

Erkennen & Jagen Bedrohungskontext erkunden

Methoden der 8220 Gang

Forscher von SentinelOne berichteten, dass die 8220 Gang Nutzer von Cloud-Netzwerken (AWS, Azure, GCP, Alitun und QCloud) ins Visier nimmt, die schlecht konfigurierte oder ungepatchte Linux-Anwendungen und -Dienste betreiben. Kürzlich hat es der Bedrohungsakteur geschafft, ihr Cloud-Botnet weltweit auf 30.000 infizierte Hosts zu erweitern, um Kryptowährungen zu schürfen. Die in 2017 entstandene Gruppe ist seitdem ein Problem, und die Mitglieder der 8220 Gang nutzen eine neue Version des IRC-Botnets, den PwnRig-Kryptowährungsminer und ihr generisches Infektionsskript in der aktuellen Kampagne.

Die Crimeware-Gruppe wird nicht als erstklassiger Bedrohungsakteur betrachtet; jedoch gelang es den Angreifern, wahrscheinlich motiviert durch die sinkenden Kryptowährungspreise, ihre Techniken im letzten Jahr zu aktualisieren und effiziente Payloads anzunehmen. Laut den Forschungsdaten zielt die 8220 Gang auf i686- und x86_64-Linux-Systeme ab und nutzt CVE-2022-26134 (Atlassian Confluence) und CVE-2019-2725 (WebLogic) Schwachstellen, um initialen Zugriff zu erlangen. Die neuesten Iterationen des Infektionsskripts verwenden Blocklisten, um die Infektion bestimmter Hosts, wie Forschungshoneypots, zu verhindern.

Jagen Sie professionell? Teilen Sie Ihr Wissen mit anderen SOC-Experten, jagen Sie Bedrohungen innerhalb von über 26 unterstützten SIEM-, EDR- und XDR-Technologien und sehen Sie Ihre Erkennungsinhalte in der umfangreichen Regelbibliothek von SOC Prime, indem Sie unserem Threat Bounty Program.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge